ارتباط با SIP سرور از طریق میکروتیک

[mjzaret]

سلام
من از مخابرات سرویس FTTH دارم. پورتهای ONT من به صورت بریج شده هست و به میکروتیک وصله.
اینترنت من هم به صورت PPPOE کانکشن هست و یک آی پی استاتیک هم روی همین PPPOE کانکشن دارم.
طبق شکل زیر:



آدرس SIP سرور هم به صورت 192.168.16.254 هست که از طریق پورت 4 میکروتیک قابل دسترس هست.
البته به صورت اتوماتیک از سمت مخابرات آی پی در رنج 192.168.36.0/22 دریافت میکنه.

حالا من میخوام از بیرون به آدرس 192.168.16.254 دسترسی داشته باشم.
به صورت زیر nat نوشتم ولی جواب نداد.



میشه در این زمینه دوستان راهنمایی کنند.
تشکر

---

موضوعات مشابه:

• دسترسی نداشتن به میکروتیک توسط کاربران متصل به یک پورت میکروتیک
• اتصال میکروتیک به مودم ADSL به صورت وایرلس و گسترش اینترنت توسط میکروتیک
• راهنمایی در مورد روتینگ در میکروتیک جهت انتقال یک رتج آی پی ولید بین دو روتر میکروتیک
• میکروتیک 79mb یا میکروتیک 17mb؟ نسخه 3.22 شما چقدره حجمش؟

---

[EVERAL]

سلام
شما proxy arp هم باید روی اینترفیس و سرو مذکور پیکربندی کنید، تا دسترسی از ساید اینترنت به SIP برقرار شود.

[mjzaret]

میشه کمی بیشتر در این مورد توضیح بدید.

[shahani]

نباید مشکلی باشه و همین DS-NAT که نوشین باید کافی باشه
احتمالا مشکل ارتباطی وجود داره، از روی اینترنت سعی در اتصال به سرور سیب خودتون با ای پی پابلیک بکنید :

ip Public and port : 2.181.x.y:5060

بعد در جدول نت همزمان بررسی کنید که Rule مربوطه کانتر میندازه یا نه، اگه در سربرگ Statistics از رول مربوطه مقدار packets تغییر کرد، این یعنی اینکه داده شما به درستی به روتر میرسه و روتر هم اون رو به سمت sip سرور هدایت میکنه، اما در برگشت sip سرور ممکنه ندونه که میکروتیک روی کدوم اینترفیس خودش هست و ای پی اون رو نشناسه و دراپ انجام بده، یا اینکه میکروتیک شما بطور کلی خودش یک ای پی در رنج 192.168.16.0/24 نداشته باشه و شما نتونید از روی میکروتیک سیب خودتون رو پینگ کنید که اینجا لازمه یک ای پی به اتر چهار خودتون بدین مثلا 192.168.16.253/24

اگه تمام این مسائل درست بود، ممکته sip سرور علاوه بر پورت 5060 از پورت های دیگه ای هم برای ارتباط استفاده کنه که در اینصورت شما باید اون پورت ها رو هم مدیریت کنید تا ارتباط بصورت صحیح برقرار بشه.

درحالت دیگه اگر اصلا پکتی به میکروتیک شما نمیرسه، فایروال های مخابرات و یا ای اس پی که اقدام اولیه برای ارتباط از اونجا صورت میگیره ممکنه پورت مذکور رو مسدود کرده باشن و یا مشکلات اینچنینی در ارتباط وجود داشته باشه ...

[mjzaret]

رول کانتر میندازه و زمانی که VPN میزنم راحت خطوط رجیستر میشه.
در زمان VPN روی سیستم میتونم به آدرس 192.168.16.254 دسترسی داشته باشم.
اما زمانی که از طریق اینترنت و بدون VPN و با آی پی ولید میخوام خطوط رو رجیستر کنم نمیشه.

- - - ادامه - - -

رول کانتر میندازه و زمانی که VPN میزنم راحت خطوط رجیستر میشه.
در زمان VPN روی سیستم میتونم به آدرس 192.168.16.254 دسترسی داشته باشم.
اما زمانی که از طریق اینترنت و بدون VPN و با آی پی ولید میخوام خطوط رو رجیستر کنم نمیشه.

[shahani]

کجا وی پی ان میزنید ؟ روی کلاینت که میخواد متصل بشه و یا روی روتر ؟

اگه زمانی که وی پی ان نمیزنید، کانتر نمیندازه، مشکل ارتباطی وجود داره و همون احتمالاتی که نوشتم رو تک تک بررسی کنید.

وقتی وی پی ان میزنید، مسیر روتینگ عوض میشه، بنظر میرسه مشکل مسیریابی و ای پی دارید.

[mjzaret]

کجا وی پی ان میزنید ؟ روی کلاینت که میخواد متصل بشه و یا روی روتر ؟

اگه زمانی که وی پی ان نمیزنید، کانتر نمیندازه، مشکل ارتباطی وجود داره و همون احتمالاتی که نوشتم رو تک تک بررسی کنید.

وقتی وی پی ان میزنید، مسیر روتینگ عوض میشه، بنظر میرسه مشکل مسیریابی و ای پی دارید.

وی پی ان به روتر میکروتیکم میزنم.
زمانی که وی پی ان نمیزنم کانتر میندازه.
زمانی که وی پی ان میزنم به میکروتیک با آدرس سیپ 192.168.16.254 به راحتی خطم رجیستر میشه.

[shahani]

وقتی وی پی ان میزنید، کلاینت یک آی پی در رنج 192.168.16.0/24 میگیره، یا یک آی پی دیگه در رنج های آشنا و تعریف شده شما در سرور و شبکه محلی
در نتیجه روتینگ و مسیریابی به خوبی انجام میشه.
در زمانی که وی پی ان زده نمیشه، درخواست شما از طرف یک آدرس پابلیک اینترنتی به میکروتیک میرسه و میکروتیک هم باید کل درخواست ها رو به سرور سیپ بفرسته، اینجا اگه درخواست ها بجز پورت 5060 روی پورت دیگه ای هم باشه و شما dsnat برای اون پورت ها تعریف نکرده باشید، ارتباط برقرار نمیشه
برای اینکه مطمئن بشید درخواست دیگه ای از سمت کلاینت روی پورت های دیگه به میکروتیک نمیرسه، در جدول
IP / Firewall / Connections
ای پی پالیک کلاینت خودتون رو Filter کنید،که تمام ترافیک با مبدا src address در این جدول نمایش داده بشه و اونوقت بررسی کنید که کلاینت شما به چه پورت هایی درخواست میده و تمام اون پورت ها رو ds-nat کنید به سمت sip سرور.
بررسی کنید ببینید آیا کانکشن های TCP شما به صورت صحیح established میشن و برقراری ارتباط کامل میشه و یا خیر.

موضوع مهم دیگه خود sip سرور شماست، باید گیت وی اینترنت اون حتما میکروتیک شما باشه، چون درخواست از سمت یک آدرس پابلیک داره به سمت سرور میرسه، اگه سرور شما به اینترنت دسترسی نداشته باشه و یا اینکه گیت وی اینترنت اون، دستگاهی بجز روتر شما باشه، پاسخ رو دراپ میکنه یا به جای دیگه ای میفرسته که در نتیجه داده گم میشه و از بین میره

از نظر پیکر بندی شبکه شما درسته، فقط باید در مسیریابی ها بسمت اینترنت و سرور کمی دقت و مانیتورینگ انجام بدین.
درضمن جا داره این نکته رو هم اضافه کنم که وقتی شما سرور خودتون رو با آی پی پابلیک در دسترس عمومی قرار میدین، دسترسی به سرورتون رو برای تمامی هکرهای جهان بازمیگذارید و این باعث میشه سرور شما در معرض تهدیدات مختلف امنیتی قرار بگیره، درچنین حالتی بعد از اینکه سرویس رو بصورت مستقیم در دسترس قرار دادین، بهتره قوانین امنیتی محکم و دقیقی برای حفاظت از سرورتون لحاظ کنید.
در حالت کنونی که فقط بعد از برقراری وی پی ان، میشه به سرور Sip دسترسی پیدا کرد، این سرور از دسترس عمومی در اینترنت دور هست و فقط بعد از برقراری یک شبکه امن خصوصی از روی اینترنت، در دسترس قرار می گیرد.

[mjzaret]

موضوع مهم دیگه خود sip سرور شماست، باید گیت وی اینترنت اون حتما میکروتیک شما باشه، چون درخواست از سمت یک آدرس پابلیک داره به سمت سرور میرسه، اگه سرور شما به اینترنت دسترسی نداشته باشه و یا اینکه گیت وی اینترنت اون، دستگاهی بجز روتر شما باشه، پاسخ رو دراپ میکنه یا به جای دیگه ای میفرسته که در نتیجه داده گم میشه و از بین میره

موضوع درست همینه.
SIP سرور برای مخابرات هست و مطمئنا گتوی اون متفاوت از آدرس میکروتیک من هست.
مشکلم همینجاست.

[shahani]

خب در این صورت شما نیاز دارید یک Src-Nat نیز بنویسید تا درخواست اینترنتی مستقیم که به روتر رسیده، ابتدا مقصدش به سرور SIP مخابرات شما تغییر کنه و بعد از اون، با Src-Nat آدرس آی پی پابلیک اون پکت نیز با آدرس آی پی لوکال میکروتیک که برای Sip Server قابل شناسایی هست تغییر کنه.

کد:

baed az dst-nat


/ip firewall nat
add chain=srcnat protocol=udp dst-port=5060 out-interface=ether4 action=src-nat (to-addresses=192.168.36.x address IP mikrotik - mishe vared nakonid)

===
راه دیگه این هست که اصلا از آی پی پابلیک خودتون استفاده نکنید و از مخابرات بخواین Sip سرورتون رو با یک آی پی استاتیک مشخص در اینترنت پابلیش کنه و کلاینت های شما بجای اینکه به آی پی استاتیک شما کاری داشته باشن، مستقیم به ای پی سرور سیپ درخواست بدن.

----
راه سوم هم که دارید استفاده میکنید، یعنی میتونید به روتر خودتون وی پی ان بزنید و بعد دسترسی برقرار میشه

[shahani]

یا

کد:

baed az dst-nat


/ip firewall nat
add chain=srcnat protocol=udp dst-port=5060 dst-address=192.168.16.254  (src-address-list=!MyNetworks_IP del be khahi) action=src-nat (to-addresses=192.168.36.x address IP mikrotik - mishe  vared nakonid)

[mjzaret]

خب در این صورت شما نیاز دارید یک Src-Nat نیز بنویسید تا درخواست اینترنتی مستقیم که به روتر رسیده، ابتدا مقصدش به سرور SIP مخابرات شما تغییر کنه و بعد از اون، با Src-Nat آدرس آی پی پابلیک اون پکت نیز با آدرس آی پی لوکال میکروتیک که برای Sip Server قابل شناسایی هست تغییر کنه.

کد:

baed az dst-nat


/ip firewall nat
add chain=srcnat protocol=udp dst-port=5060 out-interface=ether4 action=src-nat (to-addresses=192.168.36.x address IP mikrotik - mishe vared nakonid)

===
راه دیگه این هست که اصلا از آی پی پابلیک خودتون استفاده نکنید و از مخابرات بخواین Sip سرورتون رو با یک آی پی استاتیک مشخص در اینترنت پابلیش کنه و کلاینت های شما بجای اینکه به آی پی استاتیک شما کاری داشته باشن، مستقیم به ای پی سرور سیپ درخواست بدن.

----
راه سوم هم که دارید استفاده میکنید، یعنی میتونید به روتر خودتون وی پی ان بزنید و بعد دسترسی برقرار میشه

از بابت راهنمایی هایی که انجام دادید بسیار سپاسگزارم.
مشکل با روش گفته شما حل شده.
طبق گفته شما با نتی که نوشتم درخواستم به میکروتیک میرسه و میکروتیک بدون توجه به شبکه داخلی خودش منو با توجه به تنظیماتی که انجام دادم به شبکه‌ای دیگه خارج از شبکه رنج خودش منتقل میکنه. درست متوجه شدم؟
بازم تشکر میکنم

[shahani]

طبق گفته شما با نتی که نوشتم درخواستم به میکروتیک میرسه و میکروتیک بدون توجه به شبکه داخلی خودش منو با توجه به تنظیماتی که انجام دادم به شبکه‌ای دیگه خارج از شبکه رنج خودش منتقل میکنه. درست متوجه شدم؟
بازم تشکر میکنم

خواهش میکنم، بله درسته

وقتی داده شما با مقصد میکروتیک به روتر میرسه، چون سرور سرویس دهنده سیپ روتر شما نیست، در مرحله اول باید آدرس آی پی مقصد داده تغییر پیدا کنه تا داده به سمت سرور هدایت بشه (این کار در زمان ورود بسته به روتر انجام میشه)

حالا اگه داده به سرور برسه و مقصد اون یک آدرس عمومی روی اینترنت باشه یا ادرس شبکه داخلی که برای سرور ناشناس هست؛ سرور پاسخ را به گیت وی خودش ارسال خواهد کرد، در این حالت اگر گیت وی میکروتیک نباشه، ارتباط از دست خواهد رفت زیرا فرستنده، انتظار پاسخ از مسیر ارسالی و ای پی دارد که برای اون داده ارسال نموده است.
در این حالت باید قبل از ارسال داده به سرور و در خروجی روتر، آدرس آی پی فرستنده تغییر پیدا کنه و آی پی روتر شما بشه، تا سرور بتونه جواب را در مسیر درست برگردونه.

البته برای شبکه داخلی شما، این تغییر آدرس ها بطور کلی و یا یکی از آنها ممکنه نیازی نباشه، بنابراین قوانین و تنظیمات روتر را میشه طوری انجام داده که فقط داده های مورد نیاز ، آدرس های مقصد و مبدا اونها تغییر کنه و نه تمامی داده که به سرور sip میره.

[mjzaret]

یه مشکلی در این مورد هست.
اگه من برای شبکه داخلی خودم به صورت تصویر زیر دسترسی اینترنت رو تعریف کردم:



در قسمت Src. Address List هم آی پی دستگاههایی که مجازند به اینترنت دسترسی داشته باشند رو قرار دادم.
اما اگه این حالت تنظیم کنم دسترسی به SIP قطع میشه.
اگه دسترسی به اینترنت رو بدون آدرس لیست قرار بدم راحت میتونم به SIP کانکت بشم.
در این مورد میشه کاری انجام داد؟

[shahani]

می تونید بالای این rule یک رول دیگه برای دسترسی شبکه داخلی به سرور sip بنویسید و در اون لیست آی پی وارد نکنید، تا اینطوری تمام دستگاه ها شامل اون بشن.
بصورت زیر :

کد:

/ip firewall nat add chain=srcnat protocol=udp dst-port=5060 dst-address=192.168.16.254 action=masquerade